【セキュリティ ニュース】複数ブラウザでHTTPS通信時にパラメータなど含むURLが漏洩するおそれ(1ページ目 / 全1ページ):Security NEXT
「WPAD」に対応した複数のブラウザにおいて、HTTPS通信時のURLが第三者へ取得されるおそれがある脆弱性が含まれていることがわかった。URLのパラメータなどに含まれる機密情報が、漏洩するおそれがある。 「WPADプロトコル」によってプロキシを設定するために用いるファイル「proxy.pac」を自動的に取得するブラウザを使用した場合、URLを取得される脆弱性が判明したもの。AppleやGoogle、Mozilla、Operaなどのブラウザが影響を受けることが判明している。 具体的には、攻撃者が用意した「proxy.pac」を読み込んだ場合、マンインザミドル攻撃(MITM攻撃)により、HTTPS通信を行う際のパス情報や、GETリクエストにおけるパラメータなどを取得されるおそれがあるという。 Appleでは、「CVE-2016-1801」として「OS X El Capitan v10.11.
New attack bypasses HTTPS protection on Macs, Windows, and Linux
New attack bypasses HTTPS protection on Macs, Windows, and Linux Hack can be carried out by operators of Wi-Fi hotspots, where HTTPs is needed most. A key guarantee provided by HTTPS encryption is that the addresses of visited websites aren't visible to attackers who may be monitoring an end user's network traffic. Now, researchers have devised an attack that breaks this protection. The attack can
HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp
なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /
「Superfish」以外にもセキュリティを脅かすソフトが複数--研究者ら
Lenovoは今後製品に「Superfish」をプレロードしないことを約束した。また、自社製コンピュータから同ソフトウェアの痕跡すべてを削除するSuperfish削除ツールをリリースしている。 FacebookのThreat Infrastructureチームが米国時間2月20日に公表したSuperfishの分析結果によると、PC製品にアプリケーションがプリロードされていることは珍しくはないが、Superfishが他とは異なるのは、SSL/TLSを用いたウェブサイト接続を傍受できる能力だという。Superfishは、コンテンツの傍受が可能で、Komodiaからのサードパーティーライブラリを使って「Windowsのネットワーキングスタックを修正し、新しいルート認証局(CA)をインストール」する。その一方で自身がSSLの有効なあらゆるウェブサイトになりすますことを可能にする。 このKomodi
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
